lunes, 8 de septiembre de 2014

Una sociedad de la Diputación, multada por enviar 4.000 e-mail con datos privados.

La Agencia de Protección de Datos ha multado con 20.000 euros a la Sociedad Provincial Informática (Inpro), una empresa de la Diputación de Sevilla, por una infracción grave de la Ley de Protección de Datos al enviar más de 4.000 e-mail con nombres, apellidos, teléfonos, domicilios y DNI de alumnos que habían participado en cursos de teleformación que había impartido la citada sociedad. 

En enero de 2013, la Agencia de Protección de Datos inició actuaciones de inspección tras publicar ABC informaciones sobre los envíos masivos de e-mail por parte de Inpro con datos personales de un millar de alumnos. En la inspección, Inpro –dirigida por Carmen Rodríguez Quirós y presidida por el socialista Fernando Rodríguez Villalobos, titular de la Diputación de Sevilla– admitió que por un error informático envió el 10 de diciembre de 2012 datos de 1.029 alumnos a otros 4.000 alumnos. Tras el envío de los correos, algunos receptores llamaron a Inpro alertando de lo que había ocurrido, lo que obligó a la empresa a remitir otro e-mail a todos los alumnos solicitando el inmediato borrado de los correos emitidos y pidiendo disculpas por el error cometido. 

Inpro asegura que a raíz de este incidente la Diputación adecuó todos los ficheros con datos de carácter personal al marco normativo, poniendo en marcha un plan específico de adecuación a la Ley de Protección de Datos, para lo cual contrato a Ayesa. Entre las medidas que adoptó Inpro está la eliminación del envío de datos personales en los correos de seguimiento de alumnos y el establecimiento de los mecanismos necesarios para la confirmación de tareas masivas cuando incorporen datos personales. Además, Inpro se comprometió con la Agencia de Protección de Datos a designar a un encargado del tratamiento de datos de carácter personal incluidos en los ficheros. 

Infracción grave

En enero de 2014, la Agencia de Protección de Datos inició un procedimiento sancionador a Inpro por la infracción del artículo 9 de la Ley Orgánica de Protección de Datos, tipificado como grave, pudiendo ser sancionada con multa de 40.001 a 300.000 euros. Inpro alegó que el envío fue «accidental» por un error de programación en el ámbito de pruebas de un procedimiento para generar un nuevo informa para control de los alumnos, destacando que nunca hubo intención de dolo. Asimismo, señaló que realmente es un ente instrumental de la Diputación y que, por tanto, su fichero puede considerarse de titularidad pública, por lo que no debía imponer una sanción, sino sólo establecer las medidas correctoras adecuadas. 

Sin embargo, la Agencia de Protección de Datos entiende que la Diputación es la responsable del fichero e Inpro no es más que una encargada del tratamiento, por lo que estaba obligada a adoptar medidas de seguridad para tratamiento de los datos e impedir el acceso no autorizado por parte de terceros a esos ficheros. «En este caso, ha quedado acreditado que la citada entidad incumplió esta obligación», señala en su resolución José Luis Rodríguez Álvarez, director de la Agencia de Protección de Datos, quien entiende que «dado que ha existido vulneración del principio de seguridad de los datos, se considera que Inpro ha incurrido en infracción grave».

Brechas de seguridad

A la hora de graduar la sanción, la Agencia de Protección de Datos decidió el pasado 27 de junio imponer una multa de sólo 20.000 euros al tener en cuenta «la ausencia de reincidencia al no constar otras infracciones por brechas de seguridad declaradas por resolución firme, y que los hechos tienen que ver con una acción puntual inmediatamente subsanada». Aunque Inpro puede recurrir ante la Audiencia Nacional la resolución, ha decidido acatarla y pagar la multa de 20.000 euros, según fuentes de la Diputación.

Tirón de orejas a la Diputación

Mientras que la Agencia de Protección de Datos ha sancionado con 20.000 euros a la empresa Inpro -de la Diputación de Sevilla- por una infracción grave al enviar de forma masiva e-mail con datos privados de mil alumnos de teleformación, ha resuelto que la propia Diputación cometió una infracción leve al no exigir por contrato a Inpro seguridad en el tratamiento de los datos de carácter público que iba a manejar. Durante la inspección a Inpro, la Agencia de Protección de Datos descubrió que aunque la Diputación había hecho una encomienda de gestión a Inpro para que realizara cursos de formación continua, no le había encargado específicamente el tratamiento de datos personales de los alumnos de los cursos de formación, aunque dentro de sus tareas a realizar aparecían la gestión de alumnos y tutores, lo que suponía dar de bajo o alta a unos y otros en las actividades. La Agencia de Protección de Datos no le insta a adoptar ninguna medida correctora porque la propia Diputación ya encomendó a Ayesa la seguridad en el tratamiento de ficheros con datos de carácter personal a raíz de ese incidente.

(Fuente: Abc.es)

No hay comentarios:

Publicar un comentario